2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
正如黑客演示所示,可以擊敗雙因素身份驗證。人們關(guān)注的是一個視頻發(fā)布,其中KnownBe4首席黑客官員Kevin Mitnick透露了雙因素漏洞。
雙因素身份驗證是“一個額外的安全層,需要員工HAS和他們所知道的東西。”
“這次攻擊的核心是一個網(wǎng)絡(luò)釣魚郵件,在這種情況下,一個據(jù)稱是由LinkedIn發(fā)送給一個成員,表示有人試圖在社交網(wǎng)絡(luò)上與他們聯(lián)系,” SC雜志的 Doug Olenick說。
用戶獲取虛假登錄頁面。這種攻擊方法在安全用語中被描述為憑證網(wǎng)絡(luò)釣魚技術(shù),它需要使用拼寫錯誤的域名。這個想法是讓用戶放棄他/她的憑據(jù)。凱文的白帽黑客朋友開發(fā)了旨在繞過雙因素身份驗證的工具。
在這種攻擊中,拼寫錯誤的域名是什么意思?這是一個技巧,“蹲”反映了它如何在另一個實體上進(jìn)行網(wǎng)絡(luò)搶斷。使用故意錯誤字母地址及其印刷錯誤工廠的互聯(lián)網(wǎng)用戶可能會被引導(dǎo)到黑客運(yùn)行的替代網(wǎng)站。
通過虛假的Linked-In電子郵件,Mitnick在登錄他的Gmail帳戶時展示了這一切是如何運(yùn)作的。
PCMag的英國編輯和新聞記者M(jìn)atthew Humphries 在攻擊中說,有關(guān)該網(wǎng)站被定位的電子郵件似乎沒有,“所以收件人不會花時間檢查它發(fā)送的域名。”
在這種情況下,電子郵件來自llnked.com而不是linkedin .com- 如果你不在尋找虛假的游戲,很容易錯過。單擊電子郵件中的“感興趣”按鈕會將用戶帶到一個看起來就像LinkedIn登錄頁面的網(wǎng)站??偠灾?,米特尼克表示,僅僅通過將他們重定向到一個看起來像LinkedIn的網(wǎng)站并使用2FA對他們來竊取他們的登錄憑據(jù)和網(wǎng)站訪問,并不是那么難以繼續(xù)并獲得LinkedIn用戶的詳細(xì)信息。亨弗里斯。
該演示使用LinkedIn作為示例,但它可以在谷歌,F(xiàn)acebook和其他任何帶有雙因素登錄的東西上使用; 報道說這個工具可以為幾乎任何網(wǎng)站“武器化”。
有趣的是,去年Russell Brandom在The Verge中表示,在參考雙因素身份驗證時,“是時候?qū)ζ湎拗七M(jìn)行誠實了” 。Brandom講述了雙因素的承諾如何在惡作劇制造者繞過它的時候開始解開。他說,“很明顯,大多數(shù)雙因素系統(tǒng)都不能與高級用戶對抗。”
盡管如此,他說,在大多數(shù)情況下,問題本身不是雙因素。這是“它周圍的一切。如果你可以突破那個雙因素登錄旁邊的任何東西 - 無論是帳戶恢復(fù)流程,可信設(shè)備還是底層運(yùn)營商帳戶 - 那么你就可以免費(fèi)回家了。”
然而,提出了一條明顯的建議,即對鏈接保持警惕。此外,關(guān)于什么是雙因素身份驗證的觀點(diǎn)是有用的。它比基本密碼機(jī)制更緊湊。這是一個額外的安全層。但正如KnowBe4首席執(zhí)行官Stu Sjouwerman所說:“雙因素身份驗證旨在成為額外的安全層,但在這種情況下,我們清楚地看到您不能單獨(dú)依賴它來保護(hù)您的組織。”
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。